ISMS認証を取得する際には、その「範囲」を明確に指定する必要があります。
そしてそのためには、ISMS認証を取得する・ISMSを構築する目的を、まず定義することから始めます。
例えば、新規事業における情報セキュリティの高さをWebサイト上でアピールしたい場合は、その新規事業を手がける部署が対象になるでしょう。
しかし、ISMS認証を取得している旨を、自社営業パーソンの名刺にも明記したい場合、新規事業セクションだけではなく、営業セクションにまで、ISMSを適用する範囲を広げる必要がある場合がほとんどです。
ISMS認証を取得する目的を定義した後は、次のような観点で、その「範囲」を明確に指定します。
適用する「部署」
ISMS認証の適用範囲を決定する際に、大きな基準になるのが「部署(セクション)」です。
上述したように、事業部のみで取得するのか?営業部も加えるのか?
ISMS認証取得が会社の事業展開における戦略の一環である場合、単に「当該のサービスを扱っている部署」のみで取得すればそれで終わりというケースは少なく、「営業部」や「コールセンター」など、関連する部署も認証範囲に含めるか、しっかりと検討する必要があります。
適用する「場所」
認証範囲を適用させる部署と同時並行で、それを取得する「場所」についても検討を進めます。
例えば「営業部」でのISMS認証取得が会社の戦略であったとしても、それを全国に点在する全ての営業所に求めるかは、また別の話です。
全国各都道府県に営業所があっても、主に新規顧客開拓を行っているのが東京の営業所だけで、他営業所は既存顧客へのルート営業のみ、というケースもあります。
そのような場合、まずは東京の営業所のみISMS認証を取得し、必要に応じて他営業所へ展開していくような運用を提案させて頂くかもしれません。
ISMS認証範囲を考える時に留意しておきたいこと
多くのお客様においては、上記のように「部署」や「場所」を軸に、ISMS認証範囲の検討を進めます。
しかし、他にも「人数」や「今後の事業展開」など、考慮すべきファクターは数多く存在します。
何故ならば、ISMS認証を取得する際には、コンサルティング会社や審査会社に必要な料金を支払う必要性が生じ、その金額は認証範囲次第で大きく変動するからです。
自社の現状や今後をしっかりと見据え、信頼できるコンサルティング会社などからの提言も参考にしつつ、最も効果的なやり方を模索していきましょう。